Nevyhody NATu

[Vladimir Kotal]

On Wed, Aug 07, 2002 at 09:49:27AM +0200, Jiri Rosenmayer wrote:
> > > Nevyhodou NATu jsou omezeni sluzeb typu peer2peer, zato ma vyhodu 
> > > v bezpecnosti, kdy celou sit schovate za nejakej stroj a zvenku se 
> > > dobouchate pouze na ten router, do site se proste neproroutujete.
> > > Samotnyho by me zajimalo, jak se s timhle v budoucnu vyporada svet IPv6. 
> > 
> > V IPv6 mate moznost pouzivat adresy lokalni pro danou 'site' (at uz je tim
> > pojmem mysleno cokoliv). Nemyslim link-local adresy (default, napr. 
> > fe80::202:b3ff:fe95:c52e%fxp0), ale site-local adresy, ktere je mozne
> > routovat pouze v ramci dane 'site' a je zakazano propagovat je ven.
> > 
> > > 
> > > Na jednu stranu bude tolik IP adres, ze NAT nebude potreba. Na druhou stranu
> > > se urcite najde nekdo kdo bude NAT chtit pouzivat kvuli bezpecnosti. Budou
> > > ty sluzby naprogramovany dobre, ze se vyporadaji s NATem, nebo budou udelany
> > > blbe a zase budem v ...... ?? Za podobny pripad povazuju IP options, ktere
> > > v dnesni dobe dropuje kazdy kdo ma rozum, v IPv6 se ale o takrka stejnou
> > > vlastnost opira Mobile IP
> > 
> > Co tim presne myslite ? Nelibi se vam zpusob prace s Extension headers a
> > jejich propojeni s AH,ESP ?
> 
> Asi takhle, vim ze pri pouziti Mobilni adresy je potreba nejak pouzit 
> autentizaci, pokud chci aby paket necestoval pres muj "domaci router" a chci
> aby pouzil nejkratsi cestu za pomoci "IP options", ale abych se priznal, nezkoumal 
> jsem zatim jak.  Takze nemuzu rict, jestli se mi to libi nebo ne.
> 

V jednoduchosti to funguje takto:
Pokud si zarizeni chce podrzet statickou IP adresu pri ceste mezi sitemi,
a detekuje ze se ocitlo v jine siti nez pred "chvili" (napr. pomoci Router
Advertisement paketu), projde autokonfiguraci, ziska tzv. care-of-address
a oznami svemu home-agentovi a vsem uzlum s kterymi az dosud komunikoval
zmenu sve polohy. Ty pak upravi sve routy.

Bezpecnostni Extension hlavicky hraji jednak roli pri predavani informaci
o zmene polohy - tyto informace jsou autentizovany pomoci transportniho
modu IPSec. 

Pokud dostane home-agent paket urceny pro mobilni zarizeni, forwarduje
tento paket pres IPSec tunel na posledni hlasenou polohu zarizeni.

Na navrhu IP mobility je velmi hezky videt, jak je potreba aby se vsechny 
pekne vlastnosti IPv6 poskladaly dohromady a umoznily aby to korektne 
fungovalo.

> :-))). Zadna moznost jak to pustit skrz (aspon v GUI, mozna ze nekde hodne nizko
> se to da prekonfigurovat ). Proste IP Options se dneska dropuji, tak to vidim ja.

No ano. 

> 
> > Rad bych bezpecnost a korektnost IPv6 implementaci videl optimisticky, ale
> > protokol je radove slozitejsi nez IPv4, spousta veci se stala povinnou.
> > Naproti tomu existuje vice ruznych implementaci, ktere se soubezne
> > pouzivaji a testuji, takze se snad lze vyhnout tomu, ze by se chyby masove 
> > dedily jako u IPv4.
> 
> ja bych to taky rad videl optimisticky. Ale jak jste sam poznamenal, protokol je
> radove slozitejsi. Abych se sam priznal, to co jsem napsal, jsou veci, ktere mi po
> nejakem pocatecnim zkoumani IPv6 vrtaly hlavou a doufal jsem ze vyvolam nejakou diskuzi.
> 

V zasade by se take dalo rict, ze navrh protokolu je docela jednodchy, ale
implementace je velmi komplexni. (zkuste odebirat napr. NetBSD tech-net)


v.